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Resume 



De plus en plus utilisee dans le cadre d'enquete ou de Texpertise legale, Tanalyse forensique qui 
consiste a effectuer des recherches sur une nnachine, necessite nnethodologie et outils afin d'etre 
menee a bien. Au cours de ce document, nous verrons la nnethodologie et les outils utilises afin 
d'effectuer et d'analyser la copie d'un ordinateur sous Windows. 

Introduction 

Le terme anglais Forensics (lien ) designe les recherches effectuees sur une machine suite a sa 

compromission par exemple, afin d'en determiner les causes et de juger de I'etendue des dommages. 

1 

La definition de Wikipedia : « On designe par informatique legale ou investigation numerique legale 
I'application de techniques et de protocoles d'investigation numeriques respectont les procedures 
legales et destinee a apporter des preuves numeriques a la demande d'une institution de type 
judiciaire par requisition, ordonnance ou jugement Ce concept, construit sur le modele plus ancien de 
medecine legale, correspond a I'anglais « computer forensics ». » 

Une definition plus formelle pourrait etre : Taction d'acquerir, de recouvrer, de preserver, et de 
presenter des informations traitees par le systeme d'information et stockees sur des supports 
informatiques. 

Ces investigations suivent generalement 3 grandes etapes : 

- L'acquisition de donnees : Cette etape consiste a recuperer les donnees d'une machine dans le 
but de les analyser. II faut evidemment eviter toute modification du systeme et des informations 
elles-memes. L'approche sera differente suivant que le systeme est en cours d'execution ou arrete. 

- Le recouvrement de donnees : Un fichier efface sur un disque dur Test rarement de fagon 
securisee. Les informations concernant ce fichier y restent souvent physiquement. II est done 
generalement possible de recouvrer ces fichiers a partir de I'image d'un disque dur. On emploiera par 
exemple la technique de "file carving" ( lien ) qui consiste a faire une recherche sur I'image disque 
par rapport au type des fichiers. 

- L'analyse de donnees : Une fois les donnees recuperees, il faut les analyser ; la facilite de 
I'analyse est etroitement liee aux competences du pirate. Certains ne tenteront pas de se dissimuler, 
laissant des traces voyantes un peu partout sur le systeme (dans les journaux systemes, les fichiers 
de traces applicatives, etc. ...). D'autres auront pris soin d'effacer un maximum d'elements pouvant 
trahir leur presence ou leur identite jusqu'a ne rien ecrire sur le disque (intrusion par Meterpreter par 
exemple - lien ). 



http://www.secuobs.com/news/02082007-forensic lexfo.shtml 



Dans quels cas utiliser I'analyse forensique ? 



Lors d'un incident de securite au sein d'un SI, il est necessaire de connprendre le nnode operatoire de 
I'attaquant afin de retracer ses actions, nnais egalennent de pouvoir collecter assez de preuves pour 
pouvoir porter plainte (pedo-crinninalite, intrusion, etc.). L'analyse forensique peut etre par exennple 
utilisee dans le cas de : 

Analyse de nnalwares 

Recuperation de preuves en vue d'une plainte (intrusion, pedocriminalite, proces, etc.) 
Test d'intrusion 
Recuperation de donnees 
- Etc. 

Pour cela, plusieurs techniques sont utilisees ^: 

• Recuperation de fichiers effaces 

• Analyse des logs 

• Analyse des fichiers infectes 

• Analyse de la nnennoire 

• Extraction des infornnations pertinentes 

• Etc. 

Dans le cas d'une plainte, il faudra neanmoins veiller a assurer Tintegrite des donnees, celles-ci ayant 
vocation a etre presentees devant la justice. 

Les differentes approches 

Trois types de collecte peuvent alors etre detailles, a savoir le "dead" forensics (systeme eteint - 
analyse de disque), le "live" forensics (systenne allunne - analyse de la memoire vive) et le "nnixed" 
forensics (analyse de la nnennoire vive & analyse du disque). Dans le cas present, nous limiterons nos 
investigations a Tapproche a froid (dead forensics). 

La methodologie 

L'analyse forensique exige de la methodologie. II va s'agir de collecter et de preserver les preuves. II 
est done recommande de suivre un guide des bonnes pratiques afin de pas alterer/modifier les 
donnees analysees. Un point essentiel de Tanalyse forensique est la documentation et Thorodatage 
des actions effectuees. 

Voici un exemple de methodologie d'analyse forensique sous Windows : 

1. Colliger (collecte) 

a. Deconnecter le poste du reseau 

b. Sauvegarde / analyse de la memoire vive 

c. Effectuer un clone du disque dur 

d. Effectuer un calcul de Tempreinte de Timage afin de s'assurer de I'integrite des 



^ http://www.lestutosdenico.com/outils/analyse-forensique-completement-sick 



donnees (calcul hash SHA-1-^) 



2. Examiner 

a. Recuperer les fichiers effaces 

b. Analyser la base de registre 

c. Analyser les logs / journaux d'evenements 

d. Analyser les traces de connexion Internet 

e. Extraire les comptes utilisateurs de la machine 

f. Extraire les informations pertinentes avec Tevenement 

3. Analyser 

a. Interpretation des informations obtenues (source de incident) 



4. Signaler 

a. Depot d'une plainte 



Pour plus d'informations sur la methodologie, vous pouvez consulter le document suivant : Analyse 
forensique - Regies et methodes a suivre . 



Les outils 



Au cours de ce document, je citerais de nombreux outils et les liens ou nous pouvons les telecharger. 
Parmi ceux que j'ai le plus utilises, je peux citer : 

Access FTK Imager^ 
OSForensics^ 
Forensic Toolkit^ 

II existe bien sur des outils beaucoup plus puissants tels qu' Encase^, neanmoins ce type d'outil est 
bien souvent payant et de par le prix des licences, celles-ci se trouvent difficilement accessibles aux 
particuliers. Dans ce document, Taccent sera done mis sur les outils gratuits ou open-source. 



^ http://fr.wikipedia.org/wiki/Fonction_de_hachage 

^ http://accessdata.com/ 

^ http://www.osforensics.com/ 

^ http://accessdata.com/ 

^ http://www.guidancesoftware.com/forensic.htm 



L'etude 



Concernant le poste a analyser, j'ai hesite a mettre a disposition un lien vers une innage. Neannnoins 
ceci ne nne sennblait pas ni utile, ni tres pertinent (taille de Tinnage, donnees personnelles). Le plus 
sinnple que je puisse conseiller est Tinstallation d'une nnachine virtuelle avec un logiciel du type 
Vmware^, Virtual Box ^ou encore Virtual PC^^ puis d'utiliser ce poste un certain tennps afin 
d'accunnuler quelques donnees interessantes a recuperer (installation d'un navigateur, logiciels de 
messagerie/lecteur pdf, enregistrennent des nnots de passe, navigation web, creation de fichiers 
proteges par nnot de passe, etc.). Puis de creer une copie de ce disque afin d'y effectuer les 
nnanipulations decrites dans ce docunnent. 

Une fois votre poste installe, configure et utilise un certain tennps, nous pourrons passer a la 
premiere etape a savoir Tacquisition des donnees. 



Cette etape consiste a recuperer les donnees d'une nnachine dans le but de les analyser. II faut 
evidemment eviter toute modification du systeme et des informations elles-memes (analyse du 
systeme en lecture seule). 

a) La copie du disque 

L'acquisition c'est lorsque vous faites une copie bit par bit des donnees stockees sur le materiel saisi 
(avec la commande DD ou d'autres outils...) Concernant la copie d'un disque, de nombreux outils 
sont disponibles dont : 

- He//x (tutorial ici^^) 

Dd ( http://www.ossir.org/resist/supports/cr/20070925/Roukine-Forensiques.pdf ) 
Encase^^ 

Un excellent article de Zythom sur ce theme est disponible ici : Recuperation des donnees, faites la 
vous-meme. D'autres outils sont aussi decrits sur cette page . 

Voyons la demarche avec FTK Imager, qui lui permet aussi la copie d'un disque dur. 



http://www.vmware.conn/fr/ 
^ https://www.virtualbox.org/ 
http://www.microsoft.com/windows/virtual-pc/default.aspx 
http://www.creativeo.net/ii-forensique-lacquisition-de-donnees-ewfacquire/ 
http://www.forensicswiki.org/wiki/EnCase 



1) L'acquisition des donnees 




Figure 1 Creation d'une image disque avec FTK imager 



On selectionne ensuite la partition ou le disque dur que I'on souhaite sauvegarder (ici un disque sous 
Vmwore) et la destination de notre sauvegarde. 



Select Drive 



Source Drive Selection 



Please select from the following available drives: 



APHVSICALDRIVEO -VMware Virtual IDE Hard Drivo 5 368 h 



< Pr^c^dent 



Finish 



Cancel 



Select Imagie Destination 



Image Destination Folder 
I E:\Image DD 

Image Filename (Excluding Extension) 



r 



Image Fragment Size (MB) | 1500 



For Raw and EOl formats: □ = do not fragment 
Compression (□=Nonej l=Fastestj ...^ 9=Smallest) | O 

Use AD Encryption I 



: Precedent 



Finish 



Cancel 



Help 



Create Image 



-Image Source - 



I \\.\PHYSICALDRIVEO 



— Image DestinationCs^ - 



Starting Evidence Number: | 1 



E:\Image DD\case [raw/dd] 



Add. 



Edit. 



Remove 



1^ Verify images after they are created [ Precalculate Progress Statistics 
I Create directory listings of all files in the image after they are created 
Start I Cancel | 



Apres la copie du disque, un hash^^ de rimage est realise afin de pouvoir verifier Tintegrite de notre 
innage. 



http://fr.wikipedia.org/wiki/Fonction_de_hachage 





General 








rJame 


case.OOl 






Sector count 


104SB2:16i 






MDS Hash 








(Zomputed hash 


FSS 1 gSTT-baSBSe 1 dSbdFSaSOaFbaeT-Sd 






Report Hash 


FSS 1 gSTT-baSBSe 1 dSbdFSaSOaFbaST-Sd 






Verify result 


Match 






5HA1 Hasl-i 








(Zomputed hash 


3FBg 1 a 1 cac^yseSOBeSeSyyScFSdbFBFaSFS^ 1 B 






Report Hash 


3FBg 1 a 1 cac^yseSOBeSeSyT^ScFSdbFBFaSFS^ 1 B 






Verify result 


Match 






Bad Sector List 

















Creating Imagje... 



Image Source : | \\.\PHYSICALDRIVEO 
Destination: | E:\Image DD\case 
Status: I Image created successfully 
— Progress 



Elapsed time: | 0:12:35 

Estimated time left: | 



Image Summary. . . 



Close 



Q cacse.001 
^ case.001.txt 

□ case.002 
Q case.003 

□ case.004 

Figure 2 Copie du disque realisee 
Par souci de securite, ne pas hesiter a faire une copie de sauvegarde du fichier image. 

b) Le montage de Timage 

Une fois la copie realisee, il va falloir monter celle-ci sur un autre poste afin de pouvoir Tanalyser. 
Pour se faire, il existe les outils suivants : 

Lmdisk^^ (emuler un ou plusieurs lecteurs de disques) 

FTK imager 

Encase 

Par exemple, dans le cadre d'un travail pratique dans mon cursus professionnel, nous avions a notre 
disposition un fichier zip representant partiellennent un disque dur. 



http://www.ltr-data.se/opencode.html/ 



Ciais.^ip\C-ais - ZIP archive la taille non compiressH&e nest de X 094 33S 9*99' 



J^l Documents and Settings 
ijiyj Program Files 
iJUi Windows 
Si SLogFile 
S SMFT 



Figure 3 Fichier image sous forme de fichier zip 
Pour monter ce fichier zip, nous allons utiliser I'outil Access FTK Imager^^. 



Monter une image avec FTK imager 

Cet outil va nous permettre de monter notre fichier image comme un disque. Ne pas oublier de 
realiser une copie de sauvegarde de Timage avant tout travail. 

On selectionne notre image puis on la monte. On choisit de la monter en lecture seule (read only) 
afin de ne pas modifier les fichiers et ainsi ne pas fausser notre analyse. 

Access Data FTK Imager 3.0.0.1443 



View Mode Help 



File 

^ Add Evidence Item... 
^ Add AJI Attached Devices 



^ Image Mounting. 



Mount Imag-e To Dnve 



Add Image 
Image File: 



I D: V^rojets\Cours^Mamen fbrensjcs\Cas.zip 



1 Logical Only 




|NeMt Available (F:) 




|File System / Read Only 





Write Cache Folder: 
I D : V^rojets\Cours^xamen "forensics 



Figure 4 Montage de Timage avec FTK imager 

Notre innage devient ainsi accessible via un explorateur de fichiers. 

'Mapped Innage List 

Mapped Images: 
jfive 



Method 



Partition 



Image 



File Svstem/Read Onlv File System D: V^roiet3\Cours\Examen fbrensics\Ca£ 



http://accessdata.com/products/computer-forensics/ftk 



J a Disque local [F:] 
J 1^ Ces 

t> . Documents and Settings 
!> Program Files 
l> ^ Windows 

Figure 5 Image accessible par gestionnaire de fichiers 



Monter une image avec OSForensics 



Dans le cas de la sauvegarde du disque realisee precedennnnent, on peut aussi utiliser Toutil 
OSForensics. 



OSForensics - Irii 



Drive Preparation 



Create Drive Imag« 



Mount Drive Image 



Figure 6 Monter une image avec OSForensics 

On clique sur « Mount New » et on selectionne notre fichier innage. 

jgg^assMark Software OSFMoor 
9c Drrvc actions Hrip 

Mounted virtual disks 



Dnve Image H& r%&tim 



Fie system 



^OSFMounit - Mount dnve 



^ n 



Source 
(o Image file 

Innage file 



Innage file in RAM Ennpty RAM drive 



□ 



Select Tmage file 



Regander dans : |, Image □□ 



Emplacements 
recents 



1<:aseJQ01 



case.OOl.tat 

, . case.002 

l_j ca&e.003 
Q case.004 



OS F Mount - Mount drive 



Source 

Image file © Image file in RAM O Empty RAM drive 



image file 



HAImage DD\case.001 



Q 



ISplit Raw image 

Volume options 

Mount specified partitior 
Image file offset 


f^l 


(_) Mount all partitions 


63 


© Bytes (a Blocks 


KBytes 


MBytes „ GBytes 


Drive size 






1 0458252 

© Bytes ^ Blocks 


KBytes 


MBytes GBytes 



N'oublions pas de cocher le montage en lecture seule afin de sauvegarder Hntegrite de notre fichier 
innage. 

Mount options 



Drive letter: 
Drive type: 



HDD 



1^ Read-only drive 

n Mount as removable media 







□K 




1 


1 



Cancel 



Help 



^ PassMark Software OSFMount 



File Drive actions. Help 

Maunted virtual disks 



Drive Image file name 



IF: H:\lmageDD\case.001 



Size Properties 
4.987 GB Read-only 



File system 
NTFS 



> 1^ Disque IcKial {R} 

capture 
^ Docunnents and Settings 
|£ Program Files 
U WINDOWS 



Figure 7 Image montee et accessible via un explorateur de fichiers 
Notre image est maintenant accessible et ne pas etre modifiee. 



c) Convertir une image en machine virtuelle 

II peut etre parfois interessant de convertir une innage en nnachine virtuelle afin de pouvoir dennarrer 
celle-ci. Pour cela, il existe le logiciel /./VeWew^^ qui se charge de cette tache. II suffit d'indiquer 
Tennplacement de notre innage et cet outil se charge de la convertir en image Mrnvjore. Nous pouvons 
ensuite demarrer Timage convertie avec i/mware. 

Live View 0.7b 



^VM Initialization Parameters 




RAM Size 


System Time 




1 13 avr . 2a IZ UO : 5-4: 47 | 


Operating System (on imagej 


^iftuto Detect j ^ ] 



Select Your Image or Disk 

(■O Image FilefsJ ^) Physical Disk 



1 D:\Captijre\Irnage DDViase.OOl 


1 [ Browse ] 


Select OutpMJt Directory For VM Config Files 
|c:VJsersVoot 




1 [ Browse ] 



What do you want to do? 

(@ Launch My Image Generate Config Only 



Pour plus d'informations, vous pouvez consulter le lien suivant : « How to Create a Virtual Machine 
from a Raw Hard Drive Image ». 



2) L'analyse du disque 

II va s'agir maintenant d'analyser le disque afin d'y extraire des informations pertinentes : 
identification du systeme, recuperation des fichiers effaces, analyse des logs, recuperation 
d'informations sensibles, etc. 



d) L'identification du systeme 

La premiere etape de Tanalyse est de determiner le systeme d'exploitation utilise, pour cela nous 
avons plusieurs moyens a notre disposition^^. 

Sous les systemes \N\ndo\NS 95/98/Me, il existe la presence d'un fichier \MSDOS.SYS. II suffit d'ouvrir 
ce fichier et d'examiner la ligne [Options]WinVer parameter. 

Pour les systemes NT/Visto/XP/Se\/en, il y a deja le nom du repertoire : « c:\Winnt » pour les NT, 
« C:\Wndows » pour les XP. 

II est possible de retrouver ces informations dans la base de registre a la ruche Microsoft\Windows 
NT\CurrentVersion key (ProductName, CSDVersion, Productid, BuildLab, et sur Vista, BuildLabEx). 



http://liveview.sourceforge.net/ 

http://www.forensicswiki.org/wiki/Determining_OS_version_from_an_evidence_image 



La consultation du fichier « setupapi.log » dans le repertoire Windows pernnet aussi d'obtenir le 
meme genre d'infornnations. 



_| setupapi.l&g - iloc-notes^ 



Ficlnier Edition Format Affichage ? 



[[Journal setupAPl] 

version du systeme d ' expl o-itati on 

ID plate-forme = 2 (NT) 

ser vi ce Pack = 2.0 

suite = 0x0200 

Type de produit = 1 

Architecture = xe6 



= 5.1.2600 service Pack 2 



Sous Linux, on peut consulter les fichiers /etc/issue et /etc/issue. net pour connaitre la version du 
systenne. Le docunnent suivant donne aussi d'autres pistes : « How To Know Which Linux Distribution 
You Are Using ». 



e) La recuperation des fichiers effaces 



Quand un document est efface, seule la reference dans Hndex du disque dur est nnodifiee. Le fichier 
est toujours la, nnais inaccessible pour le connnnun des nnortels. Nous avons plusieurs outils a 
disposition pour recuperer les fichiers effaces : 



Foremost 
Dd rescue 
NTFS undelete 
Fatback 

- Sleuth Kit 

- Etc. 



On peut aussi utiliser Osforensics qui permet de realiser facilement cette operation. 



^1 Deleted File Search 



Disk [Volume F: [NTFS] 
Filter String 



Deleted Files Found 

atmp.edb 
Size: 64.00 KB, Attributes: A-, Location: SoftwareDistribution\Data£tore\Logs\ 
Created: 0&/04/2012, 23:26, McHlified: 0&/Q4/2012. 23:26. Accessed: 0&-Apr-2012 21 :26 



Figure 8 Recuperation des fichiers effaces 

Un disque dur ne dispose pas de fonction d'effacement : une fois une donnee ecrite, la seule fagon 
de Teffacer est done d'ecrire d'autres donnees par-dessus les donnees existantes. II existe de 



nombreux outils permettant un effacement securise des donnees . Citons le cas par exemple de 
Ccleaner (logiciel gratuit destine a nettoyer un ordinateur) qui propose de telles options : 



Effacement : ^ Eflfecement normal (Rapide) 

Effacement securise (Lent) 
[suppression avancee {3 passages) ^] 
fr"! Simple [1 passage) 

IV I Suppression complexe {7 passages) 

Suppression tres complexe QS passages) 



Figure 9 Effacement securise avec Ccleaner 

Pour plus d'infornnations sur I'effacennent des disques durs, le document suivant est accessible en 
ligne : Effacement securise des disques durs . 



f) L'analyse de la base de registre 

La base de registre contient une multitude d'informations tres interessantes a analyser. Pour rappel, 
celle-ci se presente sous forme de differentes « ruches » (fichiers) qui sont stockees dans : 

C:\Windows\System32\Config 

- C:\Document and Settings\#utilisateur#\NTUSER.dat 
C: \ Windows\repair 

Pour analyser une base de registre offline, il existe de nombreux outils gratuits : 

Autoruns^^ de sysinternals 
RegRipper^^ 

- Rip 

- RipXP 
RegSlack 

Mitec Windows Registry^^ 

Commen^ons par exemple par analyser le fichier NTUSER.dat avec regripper. 

y Registry Ripper. v>2Jj|^J[J^^^^^J^^^^J^^^^^^^^J^^jmm 

File Help 

^ Icuments and SettingsXDofault Usel-KNTUSER DAT Browse | 

Report Rle; | D : \Temp\TmpNntuser2.txt Brow— | 

Rugin Re: jntuser ^ 

Figure 10 Analyse de la base de registre avec RegRipper 
Parmi les informations recuperees, nous avons tout ce qui concerne la version de Windows : 



http://www.espacefr.com/winouti/secu8.php 
http://technet.microsoft.conn/en-us/sysinternals/bb963902 
'° http://regripper.wordpress.com/ 
http://mitec.cz/wrr.html 
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Figure 11 Informations extraites sur la version de Windows utilisee 
Nous pouvons aussi obtenir tous les fichiers qui ont ete executes sur la machine^^. 

MXJX C a. die 

S o f t wa. nre \M iL C3 nro s o ft \ W iL rLcio ws \ Slxe X XlSIo FLo 3jti\ t-IU X C a. olie 

X-astWnrXte Time Sun JuX SO 20z3ez53 3 0 08 (UTC> 

C z \ WXUDOWS \ 3 y 3 1 em3 2: \ X g-f 3tt a. ;y _ ejssie ( X g £ klT jt a. Mo cinX e ) 
C z \ WXUDOWS \ 3 y 3 1 em3 2 \ Ixfccmci _ e ssie ( Ixl^Lomci Mo ciiiX e ) 

C z \ WXUDOWS \ 3 y 3 1 em3 2 \ X g £ e jt s _ ejssie {piejrsXste rxc; e Mo cinX e > 

Dz \ E>3rog3r ajn F^X X e s \ ^ciolo e \ R.e ^ cie □ _ O \ E.e s de \ H.e s de 3r s X _ e:K.e 

(S-doti-e ^^i-c; jrotia.X SpieedL^ULrxcrtLe jt ) 

C z \ E> JTog jrajm E^XXesX Ja.^a.\j nreX _ G _ O 03\t>Xza\ j usotied _ e^sie (Ja.^^(1TM> 

E*Xa.X£ojrm 3E tiXixa.jry> 

C z \ W IKTDOWS \ R.T11DC E^Xi _ E^SIE ( Re a X t e It OD S.udX o Co n. t o X F ^ rte X ) 

G z \WIKrDOWS\SJLCMTr^ _ (Re^Xtelt Sl^i^XXs ^kudXo — E-rent MonX-tojr) 

C z \ E> JTog jrajm E"XXes\^3U3\EeeE^Cr J^CTE^xX^sTnra.;^ _ e:3ce (Eee E^C Tar^y 

TJtXXXtv) 

C z \ E> JTog jrajm E"XXes\^siJ.s\ EeeE^C ^CE* l\ As^Vop^Xs^jr _ ej!te (j&.sus Eee PC 
S-C E^X S e ^X c; e ) 

C z \E^3rogjrajm. E"XXes\ EXa.rLt eoti.\ETDC: t nrX _ essie (ETD Wa.3re T3R. | 
EritiL^nLoemertt s ) 

C z \ 3 Y^sfa epi \ £a.c:-bojry_ e ssie ( E"^ ctojry pure — X rxs ta.XX^1i.XorL nt X X X t > 

Figure 12 Fichiers executes sur la machine 



Volumes monies 



Autre information interessante : les points de nnontage. Utile pour savoir si un disque dur chiffre 
(avec TrueCrypt ^^par exennple) a ete nnonte : 



MouLTX-t P o i TXt s 2 

S o f t wa. r e \ Mi c jt o s o ft \ W i_ ixdo ws \ C mr jt e ix t Ve jt s i o tl\ E jsip 1 o r e r XMoiint Po i Jit s 2! 
IiastWirite Time Sun. Jul 2 0 20:38 :5 9 2003 (TJTC> 

Remote Dnrives : 



Volumes : 



Suzi Jul 20 2 


0:39: 


5Si 20 


oe ( 


UTC> 




{105G3ec0- 


Ot.5t.- 


XXdci- 


aX42 


-eOGciGXVS 


G9Gf 


{ 105G3ecl- 


ot-st.- 


lldd- 


^14 2 


-a06dG172 


GSGf 


{ 105e3ec2- 


Ot3 5t3- 


lidd- 


ai42 


-a 0GdGi72 


G9G£ 


{27aaa040- 


05 4ci- 


lidd- 


a eee 


-a 0GdGi72 


G9G£ 


{ 70f 29240- 


Ooa7- 


XXdci- 


aa2 0 


-a 0GciGX72 


G9Gf 



Figure 13 Volumes montes sur le poste 

Une autre infornnation interessante a recuperer concerne les documents recemment ouverts 



http://www.nirsoft.net/utils/muicache_view.html 
http://www.truecrypt.org/ 



Liste des documents recemment ouverts 



La liste se trouve dans a la cle NTUSER\Software\Microsoft\Winclows\CurrentVersion\Explorer\RecentDocs 
[RecentDocs 

^^All values printed in MRUListXtlRUListEx order- 

Sof tware\Micro30 ft \Window3\ Cur rentVersionX Explorer \Recent Docs 

IiastWrite Time Wed Apr 11 12:23:07 2012 (UTC) 

23 = COFEE ORIGINAIi TORRENT 
28 = READ ME FIRST I - txt 

27 = Passware Kit Forensic 10-1 
26 = Working Serial -txt 
25 = SourceDir 

24 = User Guide for COFEE vll2.pdf 



Figure 14 Documents recemment ouverts 

Idem avec les fichiers pdf. 



Adoberdr v- 20100218 

Adobe Acrobat Reader version 9-0 located- 

S o f twar e \ Adobe \ Ac r oba t Re a de r \ 9 - 0 \ AVGe ne r a 1 \ cRe cent Fi les 



Most recent PDF opened: Thu Apr 5 09:03:51 2012 (UTC) 

cl /C/Documents and Settings/Ced/Mes 
documents/COFEE/SourceDir/User Guide for COFEE vll2-pdf 

Figure 15 Fichiers pdf recemment ouverts 

II est aussi possible de recuperer ces informations avec OsForensics. 



^ Recent Activity 






@i Search all items O Search date range only Q Include dateless items | Scan | 






From: 1 0- avr. -201 2 T o: 1 0- avr. -201 2 H 






© Live Acquisition of Current Machine (i*) Scan Drive: [f:\ ] 






File List | Timeline | 






cmd 

f^^Si Activity Type: Window.s Run MRU 

jSSj U 5e r: Ce d , Lo catio n : F:\D o cu me nts a n d S e ttin g 5\Ce d\N TU S ER. D AT\S oft wa re\M icrc 


>soft\Win d 0 w5\Cu rre ntVe re 


on\Explorer\RunMRU\ 




iexplore 

ActN'ity Type: Windows Search MRU 
Path: 

User: Ced^ Location: F:\Documents and Setting5\Ced\NTUSER.DAT\Software\Microsoft\Search Assi5tant\ACMru\5603\ 




savexp.mem 

ActN'ity Type: Windows Search MRU 
Path: 

User: Ced^ Location: F:VDocunnentE and Settings\Ced\NTUSER.DATVSoftware\Microsoft\Search AssiEtant\ACMru\5603\ 



m.php 

Activity Type: Word pad MRU 

Path: C:\Documentsand Setting sVCed\MeB docunnentsVCRIMEPACK 3.0VCRIMEPACK 3.0\exploits 

Use r: Ce d^ Location : F:\Docu me nts a n d S e ttin g sVCe d \N TU S ER. D ATVS oft wa re\M icrosoft\Win d o ws\Cu rre ntVe rsio n VAp p letEVV/o rd pa d VRe ce nt File Ll5t\ 



Figure 16 Recuperation des documents recemment ouverts 



http://forensicartifacts.com/2011/02/recentdocs/ 



Programmes qui se lancent avec Windows 



utile dans le cas d'analyse de malwares, la plupart des programmes se langant au demarrage de la 
machine utilisent souvent ce biais. Les informations se trouvent dans la ruche 
Software\Microsoft\ Windows\CurrentVersion \Run 

S o f twa re \ Mi c r o a o ft \ Wi ndows \ Cur re nt Ve r s i o n\RuTi 
LastWrite Time Sat Apr 5 19:07:43 2008 (UTC) 

CTFMON-EXE -> C:\WINDOWS\3y3tein32\CTFMON-EXE 

Figure 17 Programmes qui demarrent avec Windows 



Nom de la machine et utilisateur 



Pour recuperer le nom de la machine ainsi que Tutilisateur, on peut utiliser Tutilitaire rip avec le plug- 
in "system" : 



D:\flttaque\ForensicsSTools\Base de resfistre\rr_tools>rip-exe -r F:\CasSUindousSS 
iFsteii32\conf igSsysten -f system 
Parsed Plugins file. 
Launching cDmpname u. 20090727 
Computer Name = V0UR-9BC5H1 JI UR 



D:\flttaque\Forensics\Tools\Base de registre\rr_too Is >r ip . exe -r D:\Temp\TiTip\NTUS 

ER.dat — p logon us ernapie 

Launching logon us ernairie u. 20080324 

Logon User Name 

Soft ware \Microsoft\Uindous\CurrentUersion\Explorer 
LastUrite Tine [Sun Jul 20 20:38:59 2008 <UTC> ] 
Logon User Name = Propri |-®taire 



Figure 18 Recuperation du nom de la machine 



Parametres du proxy 



Recuperer des informations sur le proxy utilise peut aussi s'averer une demarche interessante 
(presence parfois d'un compte utilisateur) 



D:\flttaque\Forensics\Tools\Base de registre\rr_too Is >r ip . exe -r D:\Temp\Tmp\NTUS 

ER _ dat — p pro x vs e 1 1 in gs 

Launching proxysett ings v. 20081224 

Pr o xyS e 1 1 in gs 

Sof twareSMicrosof t\Uindous\CurrentUers ion\I nternet Sett ings 
LastUrite Time Sun Jul 20 20:38:59 2008 <UTC> 

AutoConf igProxv uininet.dll 

EmailName lEUsert? 

EnableHttpl_l 1 

EnableNegotiate 1 

I E5 _U fl _Bac kup_F lag 5 . 0 

Migrate Pro XV 1 

MimeExc lus ionListForCache mult ipart/mixed mult ipart/x— mixed— replace multi 

part /x— byt e ran ge s 

NoNetAutodial 0 
Priuacv^duanced 0 
ProxyEnable 0 
UseSchannelDirectlv 1 

User Agent nozilla^4.0 <compatible; MSIE 6.0; Uin32> 

UarnOnPost 1 



Figure 19 Recuperation des parametres du proxy 



Liste des URL tapees dans internet Explorer 



La liste des adresses tapees dans internet Explorer est aussi accessible. 

Sof twa.3re\Mic; JTOsof t XlriLt:. eime t Ejstplor \ T ypeciORXiS 
IiastWirite Time Fnri &pyjr 6 14 = 53:50 20T_2 (OTC) 

uirH — >- tkt tp- 1 //nrertrtes . orLvasoirt inr . com/ 

uirlS — >- ht tp I //g"oogle . f r / 

TLi.3rl3 —>- ht tp I //gmail _ com/ 

\j.jrl4 — >- ht tp I //www _ micarosof t _ com/ isa.pi/ jrecii JT . cill ?p jrci=i_e &p v-e jr = 6 
£: a. r =ms rxtLome 

Figure 20 URL tapees dans Internet Explorer 

II existe encore de nonnbreuses infornnations interessantes a explorer, pour plus d'infornnations, vous 
pouvez consulter ce docunnent . 



g) Analyses des fichiers logs / evenements 

Tout connnne la base de registre, les journaux d'enregistrennent peuvent etre une source 
d'infornnations tres riches. Ceux-ci localises dans le repertoire « Windows\System32\Config », sont 
actives par defaut sur la plupart des systennes Windows (application, securite, system). 

En analysant ces fichiers, on peut trouver rapidennent un evenennent repetitif (tentatives multiples 
de login par exemple qui peut traduire une tentative d'intrusion ou un malware par exemple) qui 
peut donner des pistes. 

Concernant Tanalyse des fichiers logs, evenements, il existe : 

Log Parser^^(outil qui permet un acces universel aux fichiers journaux) 
Evtrpt.pl^^ (script perl permettant d'etablir des statistiques) 
RtCA^^ (outil d'aide aux analyses) 

Avec ce dernier outil, on peut analyser de maniere simple et detaillee un fichier log. 



I 



RtCA V0.2.S-7 - http://code.google.eom/p/orrinia-projetcs/ 



[°] 



Audrt logs 



Files 



^egistry/AC Applications 



El - Audit logs 

FACas\Windows'^SysteiTi32\oDnfi^tSsdEvent.Evt 
El - Files path 

F:\CasWin daw s\SystemS2^co n T\q\ 
F:\Ca sWVin d o w s\Sy stemS2^co n figi. 
El - Registry files 

F ACasWVindiQ ws\System32\co n figVso fl: w are 
FACas\Windo ws^SystemSZ^CD n fig\system 
ApplicatiDns files 



Process 



-Tests - 



Audit log 
Files. 



En able ACL check 
1^ Enable file type check 
|~ SHA256 files hash [slow) 
1^ Enable ADS search 



\^ Registry | Dump local registry fslow) 
I Registry recovery mode 

\^ Enable sofl:ware configuration 
n~ Enable state (slow) 



http://technet.microsoft.com/fr-fr/scriptcenter/dd919274 

http://windowsir.blogspot.fr/2009/03/eventlog-parsing.html 

http://omni-a.bloRSpot.fr/2011/10/rtca-v01-outil-daide-aux-analvses.html 



\ RtCAv02.87 


- http://code.goog lexom/p/omnia-prc^ 










Settings 1 


A 


udK logs 


Files 


Registry/AD J Applications Process | 




























File/... 


Index 1 


D 


1 Date 




Source 


Description 


1 Type 


1 User-SD 


c.| 


F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


Security/Y0UR-9BC5H1JNVR/ SERVICE LOCAL 


AUDI... 


AUTORfTE rmSERVICE L0CALSD:S-1-5-19 


X 


F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL 


AUDI... 


AUTORITE NT\SERVICE L0CALSID:S-1-5-19 


X 


F:\Ca.. 


000... 


006.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1J^VR/ Les services IPSec n ont pas pu obt... 


AUDI... 


AUTORfTE rmSERVICE RESEAUSID:S-1-5-20 






F:\Ca.. 


000... 


006.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR/ Les services IPSec ont demarre corr... 


AUDI... 


AUTORFTE NT\SERVICE RESEAUSID:S-1-5-20 






F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR/ Secondary Logon Service 


AUDI... 


AUTORFTE NT\SystemeSID:S-1-5-18 






F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL 


AUDI... 


AUTORFTE hmSERVICE L0CALSD:S-1-5-19 


X 




F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL 


AUDI... 


AUTORFTE NT\SERVICE L0CALSID:S-1-5-19 


X 




F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JNVR; SERVICE RESEAU 


AUDI... 


AUTORFTE NT\SERVICE RESEAUSID:S-1-5-20 


X 




FACa.. 


000... 


005.. 


2010/03/11 


-02:5... 


Security 


SecurityA'0UR-9BC5H1JP<VR/ SERVICE RESEAU 


AUDI... 


AUTORFTE rmSERVICE RESEAUSID:S-1-5-20 


X 


F:\Ca.. 


000... 


005.. 


2010/03/11 


-02:5... 




Secu rityA'O U R-9B C5H 1J P/VR/ 


AUDI... 


AUTORFTE NTVANONYMOUS L0G0NSID:S-1-5-7 


X 


FACa.. 


000... 


005.. 


2010/03/11 


-03:0... 


Security 


SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL 


AUDI... 


AUTORFTE NT\SERVICE L0CALSID:S-1-5-19 


X 


FACa.. 


000... 


005.. 


2010/03/11 


-03:0... 


Security 


Security/Y0UR-9BC5H1J WR; SERVICE LOCAL 


AUDI... 


AUTORFTE NT\SERVICE L0CALSID:S-1-5-19 


X 


FACa.. 


000... 


005.. 


2010/03/11 


-03:0... 


Security 


Security/Y0UR-9BC5H1J^VR/ SERVICE LOCAL 


AUDI... 


AUTORFTE NTVSERVICE L0CALSD:S-1-5-19 




FACa.. 


000... 


005.. 


2010/03/11 


-03:0... 


Security 


Security/Y0UR-9BC5H1 JIWR/ SERVICE LOCAL 


AUDI... 


AUTORFTE NT\SERVICE L0CALSID:S-1-5-19 


it:: 



1^ RtCA va2.87 - htlp;//code.google.conn/p/o 


mnia-pr 














Settings | I^SSnbgs Files 


=tegistry/AC 


Applications 










File/Event 




|lD 


1 Date 




Description 




iTVPe 1 


F:\Cas\Windows\System32\config\Antivirus.Evt 
F:\Cas\Wlndows\System32\config\Antivlrus.Evt 


000... 
000... 


000... 
000... 


2008/12/21-18:2... 
2009/02/13-13:2... 


avast 


avast/YOUR-9BC5H1JIWfWRDB (Virus Recovery Database) generation w 
avast/YOUR-9BC5H1JIWfVasw Splash - program run information: CaswAv 


as successfully completed. VFU>B (Virus Recovery D... 
astDlg::OnTimer() - Invalid key was inserted.. aswSpla... 


INFO... 
INFO... 


F:\Ca8\Windo w s\Sy stem32^co n fig\Antivirus. Evt 


000... 


000... 


2009/02/13-20:0... 




avast/YOUR-9BC5mjlWR/asv;Splash - program run information: CaswAv 


astDlg::OnTimer() - Invalid key was inserted.. aswSpla... 


INFO... 


F:\Cas\Windows\Systenn32\config\Antivirus.Evt 
F:\Cas\Windows\System32\config\Antivirus.Evt 
F:\Cas\Windows\System32\config\Antivirus.Evt 


000... 
000... 
000... 


000... 
000... 
000... 


2009/02/14-04:4... 
2009/02/14-04 4. . 
2009/02/14-04:4... 


avast 


avastA'OUR-9BC5H1JIWR/Error in asv/ChestC: chestOpenList Error 1753. 
avast/Y0UR-9BC5H1JIWR/asv/Chestlnterface - Program error description 
avast/YOUR-9BC5H1JI\<VR/aswChestlnterface - Program error description 


Error in aswChestC: chestOpenList Error 1753. 
CChestListView::LoadFiles() chestOpenList() failed: 21... 
CChestListView::OnCreate() 'm_strErrorWnd.lsEmpty()... 


ERROR 
ERROR 
ERROR 


F:\Cas\Windows\System32\config\Antivirus.Evt 


000... 


000... 


2009/02/14-15:4... 


avast 


avastA'OUR-9BC5H1JIWRrrhere is a nev/ version of the program available 


on the Internet. There is a new version of the progra... 


INFO... 


F:\Cas\Windows\System32\config\Antivirus.Evt 
F:\Cas\Windows\Systenn32\config\Antivirus.Evt 


000... 
000... 


000... 
000... 


2009/02/14-15:4... 
2009/02/15-14:5... 


avast 


avast/YOUR-9BC5mJIWR/VRDB ifVirus Recovery Database) generation v 
avast/YOUR-9BC5H1JI\iVR/There is a nev/ version of the program available 


as successfully completed. VRDB ifVirus Recovery D... 
on the Internet. There is a new version of the progra... 


INFO... 
INFO... 



Figure 21 Analyse de fichier log avec I'outil rtCA 

Pour avoir plus d'informations sur remplacement des fichiers logs, il est possible de consulter ce 
document : Liste des fichiers logs . 



h) L'analyse des traces de connexion Internet 

II peut etre judicieux d'analyser les navigations web effectuees a partir du poste. Pour cela, il existe 
de nonnbreux utilitaires : 

ProDiscover^^ 
NetAnalysis^^ 

- Web Historion^^ 

- lEHistoryView, etc.^^ 

Ci-dessous une analyse de la navigation Internet avec Toutil NetAnalysis ainsi que Web Historian. En 
general ces outils analysent le fichier « index.dat » presents dans « document and 
settings\#user#\Coolcies » 

I NetAnalysis vl.53 - Forensic InteTO?T1istoryTna^f^^ 



Status Searching Folders for ITistfiry Files 




•••• 


History Files Found: 0 









lF:\Ca3VD0Qjnnent3 and Setting3\All Users\Cookie3\CBAIAGH7.t3(t 



Identifying Histof^nd Cache Index Files 



http://www.techpathways.conn/prodiscoverdft.htm 
http://www.digital-detective.co.uk/ 

http://www.mandiant.conn/products/free_software/web_historian/ 
http://www.nirsoft.net/computer_forensic_software.html 
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Figure 22 Analyse web avec NetAnalysis 



MANDIANTWebHistorianl 



File Edit View Tools Help 



I WebHetory 



Cookie History 
of34 ►►If 



I Download Hetoiy 



Fbiin Htetoiy 



PrafHe 




BrowserName 


BrowserVersion 


Usemame 


RleName 


FiePath 


CookiePath 


CookieName 


CookieVahje 


Creation Date 


BtpirationDate 


Cookies 


Internet Explorer 


[unknown] 


vince 


CS0SCW7l.txt 


F:\Cas\Documen . 


chevroletrouteSG ... 


WT_FPC 


id=86.73.222.95- 


2012-01-10111:4.. 


2022-01-07102:4 1 


Cookies 


Intemet &(plofer 


{jnknown] 


vince 


C90SCW7lJxt 


F:\Cas\Oocumen... 


chevroletioute€6. . . . 


WT_NVR 


(W 


2012-01-10111:4... 


2022-01-07111:4... 


Cookies 


Internet Explorer 


[unknown] 


vince 


C90SCW7l.txt 


F:\Cas\Documen... 


chevrDletrouteGG... 


frchevyrtSGa 


1 


2012-01-10111:4... 


2037-12-31123:5... 


Cookies 


jntemet Btpkxer 


^jnknown] 


vince 


SGN2ZKND.txt 


F:\Cas\Documen... 


godanphamiir/ 


_iJtiTia 


94833546.48716... 


2011-10-27719:5... 


2013-10-26719:5... 


Cookies 


Intemet Explorer 


[unknown] 


vince 


SGN2ZKND.txt 


F:\Cas\Documen... 


goelanpharTn.fr/ 


^utmz 
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F:\Cas\Documen... 
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38 
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2012-03-16721:4... 
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3D300P7GJXI 
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hotd-de^a-poste-... 


_ulina 


1837B2239.3747.. 


2011-08-10T17K).. 


2DiaOW»T17:0... 


Cookies 


Intemet Explorer 


[unknown] 


vince 


3D300P7G.txt 
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^utmz 
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[unknown] 
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Figure 23 Analyse web avec Web Historian 

Pour ceux que le sujet interesse, voici une liste d'autres liens : 

http://www.svmantecxom/connect/articles/web-browser-forensics-part-l 
http://www.forensicswiki.org/wiki/lnternet Explorer History File Format 



i) La recherche de fichiers 

II peut etre parfois fastidieux d'effectuer des recherches de fichiers sur un disque dur, de par la 
nnultitude des fichiers existants. Heureusennent il existe des outils pour nous aider dans cette tache. 
Parnni eux, nous pouvons citer : 

Access Forensic Toolkit^^ 
OSForensics 

- Scalpel^^ 

- Sleuth Kit 

Par exennple avec Toutil Forensic Tooll<it, nous pouvons facilennent creer un index des fichiers, ce qui 
permet d'avoir un tri selon le type de fichier et leur extension. 



http://accessdata.com/products/computer-forensics/ftk 
http://www.digitalforensicssolutions.com/Scalpel/ 



Refine Case - Default 



Refine Case - Default 

In order to save time and resources, and/or to eliminate irrelevant data, you ma^-^ choose to exclude certain kinds of data 
From the case. Here, you can choose defautt inclusion/exclusion settings that will appt^-^to each evidence item that gets 
added to the case. To exclude data, make any changes to the settings below. Note: any items that get excluded will not 
appear anywhere in the case, and will be inaccessible. 



Include AJI Items 



Optimal Settings 



DC 



Email Emphasis 



Text Emphasis 



Graphics Emphasis 



Uncondrtionalty .Add 

IV I RIe Slack (data beyond the end of the logical file but within the area allocated to that file by the file system) 
[Vl Free Space (areas in the file system not currently allocated to any file, but possibly containing deleted file data) 
IV I KFF Ignorable RIes ffiles found by KFFto be forensicalty unimportant, i.e.. OS ^ratem files, known applications, etc.) 
|r~'| Bctract files from KFF ignorable containers 

Conditionalt^-^ Add 



Add other items to the case only if they satisfy BOTH the file status and the file type t criteria 



File Status Criteria 

Deletion Status: Encryption Status: 

'C- Deleted ■ 1 ■ Encrypted 

(^j Not deieted (_> Not encrypted 

(S> Either "S- Either 



Email Status: 
From email 
Not from email 
o Either 



l!y| Duplicate Files 



[V] OLE Straams 



File Type Criteria 
I VI Documents 
IV I Spreadsheets 
IV I Databases 
IV I Graphics 
IV I Email msgs 



Executables 
I VI Archives 
IV I Folders 
IVI Other Known 
|y| Unknown 



Overview 



Expkire 



Graphics 



E-May 



Searcl 



Evidence Hems 



File Status 



[^Evidence Items: 2] 


[KFF Alert Files: 


o] 


File Items 


[ Baokmarked Items: 


q] 


[ Total File ttems: 50163 ] 


[ Bad Extension: 


759] 


[ Checked Items: O] 


[ Encrypted Files: 




[ Unchecked Items: 5016S ] 


[ From E-mail: 


o] 


[ Flagged Th u mbn ails: 0 ] 


[ Deleted Files: 


1 ] 


[ 0th er Th u mbn ails: ] 


[ From Recycle Bin: 


■1 1 


[Filtered In: 50163 ] 


[ Duplicate Items: 


S22Q J 




[ OLE Subitems: 


25S4] 


[ Filtered Out: O] 


[ Un filtered ][ Filtered ] 


[ Flagged Ignore: 


o] 


^ All Itenns ] f Actu al Files ] 


[ KFF Ignorable: 





Fiile Cate^ry 



Documents: 



Spreadsheets: 



Databases: 



Graphics: 



E-mail Messages: 



Executables: 



Archives: 



Foklers: 



2772 



13 



29(23 



7222 



2^ 



2727 



SlackjfFree Space: 3S37 



Other Known Type: 663 



Unknown Type: 29501 



Figure 24 Creation d'un index avec Forensic Toolkit 



L'outil OSForensics permet lui aussi de creer un index des fichiers sur le disque analyse afin de 
sinnplifier les recherches. 



OSForensics - Case_ 





:S1:art 




MiBiH^e C^ase 


File israme SeainJi 




Creali-e Indc^sc 




iSearch Index: 




Re<:f nl: Acrtivltv 




I>elei:«l Ries iSaa roh 


1^^^ M K ma lioh File ^ea rc^ 




M-emorv Viewer 




Raw Disk Viewer 




*^v^riP-m ¥!iwf<arr¥m±i-|-iim 



Create Index 



Step 4 of 5 



Index Title 



Mv Index 



Index Notes 



Index of files in: G:\ 

Index of unallocated clusters on drive: G: 
Includes files with no extension 
Includes files with unknown extensions 
Includes files with the following extensions: 

.pst^ .msg^ .eml, .mbox^ .mbx^ .dbx, .msf, .doc. .dot. ppt. -Pps. .pot, .xls. .xlt. .docx. .pptx. .xlsx. 
.pdf. .sip, .jpg, .[peg, .jpe. .gif, .tiff, .tif, .png, .bmp, .txt, .text, .rtf, .html, .htm, .shtml, .shtm, .xml, 
.xhtml, .php, .php3, .asp, .aspx, .cfm, .js, .pi, .cgi, .swf, .nfo, .dat, .wpd, .mp3, .dwf, .torrent, .mht, 
.avi, .wmv, mpg, .mpeg, .rmv, rmvb, .fiv, .mov, .qt, .exe, .dgn, .wma, .tar, .gz, cab, .rar, psd 



[ Back ] [ Start Indexing] 



<5 



Search Index 



Enter Search Words 



Index to Search [ My Index 



I Files (781 0)1 images (201] | EmaMP | Unallocated (0) | Timeline | History | 







G:\Caspocumentsand G:\CasV5oajment5and G:\Caspocumentsand G:\CasV5ocument5and G:\Cas\Poajmentsand G:\Caspocumentsand G:\CasVDocumentsand G:\CasV3ocumentsand 
SettingsVMI Usersp... Settings \All Users \p... Settings \All Users \p... Settings\All Userspo. . . Settings\All Users VH... Settings\All Users Vn... Settings\All Users\ni. • • Settings\All Users Vn... 



G:\CasVDocumentsand G:\CasV?ocuments and G:\Cas documents and G:\CasPocumentsand G:\Cas>Poajment5 and G:\CasPoajmentsand G:\CasV5ocumentsand G:\CasV5ocumentsand 
Settings\All UsersVn. . . Settings\All UsersVn. ■ • Settings\All UsersVn. . • Settings\All UsersVn. • . Settings\All UsersNm. . . Settings^AH UsersVn. ■ • Settings\All UsersVn. • • Settings\All UsersV^i. • • 



V / 



G:\CasV3oajmentsand G:\CasV5ocumentsand G:\CasV5ocumentsand G:\CasV3ocumentsand G:\Cas\Poajmentsand G:\CasVDocumentsand 
Settings\All UsersVn... Settings \All UsersVn. . . Settings\All UsersVn. . . Settings\All UsersVn. . . Settings pefault Use. . . Settings V^efault User... 



G:V::as\Poajments and 
Settings V-OcalService\Co 
Okies VH ACKER 
FACEBOOK.ipg 



V / 



G:\CasV5ocuments and 
Settings V-ocalSer vice \. . . 



Search Index 



Enter Search Words 



Index to Search My Index 



Files [781 0] | Images [201] | Email [0] | Unallocated [0] | Timeline | HistorjTI 



d rwtsn 3 2.. lo^ 

G:\Cas\Document5 and Settings\A.II Users\Ap plication Data\Microsofl:\Dr Watson\dr^'(rtsn32.log 
Date: Z7/04/Z00^, 2Z:11 Score: 5 Matched: 3 



G:\Cas\Documents and Settings\All Users\Ap plication Data\M icrosoft\Dr Watson\use r. d mp 
Date: 27/04/200&, 22:11 Score: 5 Matched: 3 



ppcrlconf ig .d II 

G:\CaE\.Docun"ientE and SettingE\All UEerE\ Application Data\MicroEoft\IdentityCRL\production\ppcrlconfig.dll 
Date: 17/ 09/20 OS, 14:2& Score: 5 Matched: 3 



PIRATE.zip 



G:\C::as\Documents and Setting.s\All Use rs\Ap plication Data\Microst>ft\Intemet EKplorer\PIRATE.zf> 
Date: 17/ 09/ 20 OS, 14:29 Score: 5 Matched: 3 



Figure 25 Creation d'un index avec OSForensics 



Ces outils permettent de faciliter les recherches et les investigations eventuelles (recuperation des 
emails, innages, fichiers executables, etc.) 



j) La recuperation d'informations sensibles 

Peut-etre une partie les plus interessantes d'une analyse forensique : la recuperation d'infornnations 
sensibles. II y a beaucoup de types differents : nnots de passe des utilisateurs de la nnachine, nnots de 
passe enregistres dans le navigateur, nnots de passe des logiciels tiers... Voyons ensemble comment 
extraire ce type d'informations. 



L'extr action des comptes utilisateurs de la machine 

Toujours utile de savoir comment extraire les comptes utilisateurs d'un systeme Windows. Pour plus 
d'informations sur la maniere dont Windows stocke les mots de passe des utilisateurs, le lien suivant 
est accessible : « Comment faire pour utiliser I'utilitaire SysKey pour securiser la base de donnees du 
gestionnaire des comptes de securite de Windows ». 



II existe de nombreux outils tels que pwdump^^ pour extraire les comptes utilisateurs d'un systeme 
Windows. Le souci est que ces outils ne fonctionnent que sur les systemes on-line. Dans notre cas, 
nous allons devoir recuperer la cle de chiffrennent systenne stockee localennent. Pour cela, nous allons 
Toutil HashDumper ^^de Cain^^, outil qui pernnet d'effectuer des attaques reseau et de cracker des 
nnots de passe. 

Cette cle se trouve dans la ruche « system » du repertoire systeme de Windows. On ouvre Cain et on 
utilise Tutilitaire « syskey decoder ». 



Syskey Decoder 



ery 



Figure 26 Syskey Decoder 

Ne souhaitant pas recuperer la cle stockee localement sur notre systeme, on indique I'emplacement 
du fichier « system » de notre image presente dans « \Windows\System32\config » : 



1^ systemprofile 
DSBO 

^ Antrviru.evt 
Hjl Antivirus. Evt 
0 AppEvent.Evt 

default 
[_j dcfault.LOG 
Q I defauit.sav 
[J SAM 



, software.LOG 
softwarc.sav 

system I 



vyvicr 

I i system. 
Qj TcmpKi 
□ userdiff 



Type : Fichier 

Taillc:4,00 Mo 

Modifie le ; 07/03/2011 22:41 



, userdiffXOO 



Figure 27 Emplacement de la ruche system 
Cain extrait alors de maniere automatique la cle de chiffrement. 

Syskey Decoder 



4G90G72e728f5abfbc483b4dbb4ba1c4 



Local System Boot Key 



Exit 



Figure 28 Extraction de la cle de chiffrement 

Cette cle de chiffrement recuperee, nous allons pouvoir extraire les comptes utilisateurs de la SAM. 
On se rend dans Tonglet « cracking » et on clique sur la case « + ». 



http://syskb.conn/telecharger-pwdump/ 

http://www.oxid.it/ca_um/topics/nt_hashes_dumper.htm 

http://www.oxid.it/cain.html 



i 1 






File View Configure Tools 


Help 




^ SPDDF SPDDF 1 1 / 
IBU^ ftLlTH pEgET HTLH | ■ | ^ 




■^64 Q im M 





1^ ^^cPe^^^^^^" 

-gS LM &NTLM Hash 



3 



Add NT Hashes from 



(* Import Hashes from local system 

|~ Include Password History Hashes 



Figure 29 Extraction des comptes utilisateurs de la machine 

On indique ensuite rennplacement de la base SAM de notre image (\Windows\System32\config ) et la 
cle de chiffrennent que nous avons recupere precedennnnent. 



Import Hashes from a SAM database — 

SAM Filename 

I F: ^Cas^WindoiAis\S>istem32\conf ig\SAM~ 

Boot Key (HEX] 

1 4690672e72Sf 5abf bc4S3b4dbb4ba1 c4| 



Apres avoir clique sur le bouton « next », on obtient alors Tensennble des connptes utilisateurs du 
systeme analyse. 



User Name 


LM Password 


< a 1 NT Password 


1 LM Hash 


1 NT Hash 


1 challenge 


1 Type 


Ad m i n i strateu r 


* empty * 


* empty * 


Invite 


* empty * 


* empty * 


X SUPPaRT_388945a0 


* empty * 




AAD3B435B51... 


594BDAB2ED8... 




LM & NTLM 


X ASP NET 






FCBDBC080AB... 


421F380284C5... 




LM & NTLM 


X HelpAssistant 






9FB76119A144... 


32844305 A9A9... 




LM & NTLM 


autodiagprog 


* empty * 


* * empty * 


AAD3B435B51... 


31D6CFE0D16... 




LM & NTLM 







Figure 30 Comptes utilisateurs extraits 

Le connpte administrateur a un nnot de passe vide, nnais si ce n'est pas le cas, Cain propose des 
nnethodes pour casser le nnot de passe. Un sinnple die droit sur le compte permet de choisir sa 
nnethode. 



XE 

X HelpAs 
autodia 



Di c±i on a ry At±a ck 
Brute-Force Attack 
C ry pta n a ly si s Atta ck 

R.a i n b owe ra c k- O n I i n e 

ActiveSync 



gFB761igA1444F.-. 32S44305Aa A9 

II1&- 



LM Hashes -t- chalTenge 
NTLM Hashes 
NTLM Hashes + challenge 
NTLM Session Security Hashes 



Figure 31 Cassage des mots de passe 
On peut aussi obtenir le nnenne resultat avec OSForensics. 



Passwords 



I Find Browser Passwords | Windows Login Passwords | Generate Rainbow Table | Retrieve Password y 



Retrieve Hashes 



(._ • Live Acquisition of Current Machine 
IVI Test common passwords 



o Scan Drive: F:\ 



User 

Administrateur 
Invite 

HelpAssistant 

SUPPORT_3SSS.. 

Ced 

ASPNET 



LM Password 
(unknown) 
(disabled) 
(unknown) 
(disabled) 
(disabled) 
(unknown) 



NT Password 

(unknown) 

(disabled) 

(unknown) 

(unknown) 



(unknown) 

Figure 32 Recuperation des hash avec OSForensics 



LM-Hash 

F477D34BE1 DA025BGG45.. 
(disabled) 

9BCG1 BSG47GS93549S4A... 

(disabled) 

(disabled) 

D4C3F9G353B02S293F0G... 



Extraction des mots de passe des navigateurs 

Pour une liste des emplacements ou Windows stocke les differents mots de passe, le document 
suivant est consumable en ligne : Password Storage Locations For Popular Windows Applications 

Toujours avec OSForensics, \\ est possible de scanner une machine afin d'y recuperer les mots de 
passe des differents navigateurs. 



FindB rowser Passwords | Windows Login PassfAiords | (jenerate Rainbow Table | Retrieve Password w\[)r\ Rainbow Table | Decryption P 



Retrieve Passwords (1) Live Acquisition of Current Machine i*) Scan Drive: F:\ 



URL 


Usernarme 


Password 


Browser 


Blacklisted 


Windows Use 


Location 


https://accounts.google.conn 


N/A 


N/A 


Firefox 


No 


Ced 


F:\Docunnents and Settings\CedV 


nnoz-proKv: //www-cache, aql. f r: 31 28 


N/A 


N/A 


FirefoH 


No 


Ced 


F:\Docunnents and Settings\CedV 



Figure 33 Recuperation des mots de passe du navigateur 

Neanmoins ceci ne semble pas fonctionner avec la version gratuite de cet outil, nous pouvons done 
utiliser certains outils nirsoft afin de realiser ces operations. Prenons par exemple Textraction des 
mots de passe de Firefox avec Toutil PasswordFox^^. Cet outil permet d'extraire les mots de passe 
localement ou situe sur un disque externe. (File -> Select folders) 



57. Select Folders 



Profile Folder Path: 



W\ Use the following Firefox installation folder: 



F:tiocuments and Settings^ed^ocal Settings\Application Data^ozilla^irefbxV^rofiles\2xh0ssw 



http://www.nirsoft.net/utils/passwordfox.html 



^HPass word Fox: ^^^H 






illaXRrefbxXProfilesXtDoo^lia^e^a^l 


RIe Edit 


View Help 








ifel iS^ 'Sj 






Recor... 


Web Site 




User Name Password 


O 73 
O 74 


http://w^ 
http://w\ 




be 

P be 




O 75 


https://c 




be 




O 76 


https://s 


r be 




♦ 77 


http://w\ 




oh 




♦ 78 


http://rO( 




sh 


v. m' 



Figure 34 Recuperation des mots de passe stockes par Firefox 



Sur le meme site, des outils existent pour les differents navigateurs : Internet Explorer, Google 
Chrome, Opera et Safari. 



Extraction des secrets ISA 

LSA pour Local Security Autority ^^est un espace de stocl<age des informations tel que les nnots de 
passe utilises pour dennarrer certains services. Pour extraire les nnots de passe LSA, on peut utiliser 
Toutil LSASecretsView^'^ de Nirsoft. Cet outil permet aussi de retrouver les mots de passe d'une 
machine externe. 



AdvanfCed Options ^ 


O Load the LSA secrets of the current logged-on user 








@ Load the LSA secrets from external instance of Windows installation 








V'Vindows Directory: F:^WINDOWS [ ... J 


1 


S 


OK 1 


[ Cancel ] 



Fiile Ediirt View Help 

I EI iRi ^ s n 

Entry Name ^ Dat; 

O 0083^4^ a -f925 -4 ed7 - bl 66- d95 dl7aO b57 b- Rem oteDeskto pH el pAssistantSID 2S 

O as;pnet_WP_PASSWORD 2» 

O DPAPLSYSTEM 44 

O G S{ EDS F4747 - E13 D -47 b c -856 B -5 C EFEl A81 A7 F} 16 

O LSH VDRAEN C KEy_28 a d a6 d a - 6622 -11 dl -9 c b9 -00 c04f bl6 e75 380 

O LSRTMT[MEBaMB_1320153D-SDA3-4^e-B27B-0D888223A588 S 



Figure 35 Extraction des secrets LSA 



http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/RegistryTips/Miscellaneous 
http://www.nirsoft.net/utils/lsa_secrets_view.htnnl 



Recuperation du mot de passe VNC 



Si le logiciel VNC est installe sur le poste analyse, il est possible d'extraire la cle de registre 
correspondante et de retrouver le mot de passe. Pour cela, nous pouvons utiliser Toutil 
vncpwdump^^ . 



C:\DDCunients and Sett ings\Ced\Mes docurients\uncpwduFip-win32-l_0_6 >yncpwdurip -r C 
iWtnpWNTUSER.dat 

UNCFudump u . 1 . Q . 6 by patrikPcqure - net 
[Password: password 



Figure 36 Recuperation du mot de passe VNC 

Recherche de fichiers proteges 

On appelle par « fichier protege », les fichiers qui necessitent un nnot de passe (exennple : fichier zip 
protege par un nnot de passe). Pour rechercher ce type de fichiers sur un poste, nous pouvons par 
exemple utiliser Toutil « Password Recovery Toolkit Forensic ^S>. Cest un outil offrant de nombreuses 
fonctions dont le dechiffrement de conteneurs truecrypt, la recuperation de mots de passe, le 
crackage de fichiers proteges, etc. 

IB Pa 55 ware Password Recovery Kit ForeirKk: 
I File View Tools Help 

Figure 37 Password Recovery Toolkit Forensic 
Pour la recherche de fichiers proteges, on choisit Toption appropriee. 

Swrch for Protected Files {Ctrl+F] 

Scan computer for protected files. 

Figure 38 Recherche de fichiers proteges 

Scan Progress 

!■ I 

Mem scanning: G:\Cas\Docunnentsand Settings\AII Users\Appli cation Data\Microsoft\Media Player\UserMigratedStore_59R.bin 

Tinne elapsed: 4 sec. h h h h 

Estimated completion time: 19 min. 46 sec. L — ^^"^^ — J 1 ^^op j 

Une fois qu'un fichier protege a ete trouve, il est aussi possible de chercher le mot de passe. 



File Name 


Folder 


Recovery Options ^ 




Forensics.rar 




Recover Password 


pw. Hardware accelerati... | 



De nombreuses options sont disponibles afin de retrouver le mot de passe. 




http://www.cqure.net/wp/vncpwdump/ 
http://www.tracip.fr/password-recovery-toolkit.html 



^:\CasM>ocyments annd Sett?ngs\Arr Users\Apprrcatron Data\M MzrosoftMnt^rnet E3q)1or«r\PIRATE:^p 
Protection: Zip 2.0 - Extraction Patsswordj Defaulrt Encryption 
Complexity: Brute- force - Fast 

PasE-word information 

Any information about the password helps, to reduce the recovery time. 
The password is: 

1^) One dictionary word (i.e., "apple" ^ 

O More than one dictionary word (i.e., "greenapple"^ 

One or more dictionary words combined with letters^ numbers^ or symbols (i.e.^ "applelxyz" or "greenl2^apple"] 
O Non-dictionary^ but similar to an English word (i.e., " Softool" or "johnsapple"^ 
O Other 

O I know nothing about the password 



■G:\Cas\DocLmeiits a"rKJ Settpr>gs\AM Llsers\Appffcatron Data\Microsoft\Inf emet EKpk>rer\PIRATE>zip 
Protection: Zip 2.0 - Extra ction Passwords Default Encryption 
Complexity: Brute- force - Fast 

File: PIRATE.zip 

Foider: G:\Cas\Documents and SettingsVAH Users\Appli cation Data\Microsoft\Internet Explored 

Protection: Zip 2,0 - Extraction Password, Default Encryption 

Complexity: Brute-force - Fast 

M D5 : 55071 Dl E3 FE627 D85 Bi564 B F783Z59 



File-Open password: [ 



[no brackets] <Copy> 



Figure 39 Crackage du mot de passe d'un fichier protege 
L'outil OSForensics propose aussi le meme genre d'attaque. 



vser Passwords | Windows Login Passwords | Generate Rainbow Table | Retrieve Password with Rainbow Tabie"^ ^^^^^^^^^^^^^^^^j 

Password Recovery Options 



Encrypted File: |GACas\Docunnents and SettingsV^II UsersV^pplication Data\Microso 



Select Dictionaries for Brute Force Attack 



[n] Common First Names and Surnames 

[rl Common passwords 

O English words -US and UK 

[?] Random Passwords 



Start 



Source 

□ SF default 

□ SF default 
OSF default 
OSF default 



Stop 



Password Found 



Password Found! 



Please copy the passwordr diddng OK will attempt 
to open the file so you can enter the password, 

j OK 1 [ Cancel 1 



Figure 40 Cassage de mots de passe avec OSForensics 



Dechiffrement de containers TrueCrypt 

Une option interessante de « Password Recovery Toolkit Forensic « est la possibilite de lancer une 
attaque pour trouver les nnots de passe de containers truecrypf^. TrueCrypt est un outil permettant 
de creer des disques durs virtuels chiffres. 



http://www.truecrypt.org/ 



Recover Hard Disk Password (Ctrl+D) 

Recover encryption keys or passwords to unlock BitLocker and TrueCrypt drives. 

TrueCrypt {Ctrl+D 

Decrypt a TrueCr>fpt volume. 

Figure 41 Crackage de containers Truecrypt 

Une fois rennplacement du container TrueCrypt indique, nous langons une attaque de recherche de 
mots de passe. 

Deciypting a TrueCrypt Volume 

En cry pted Tru eCry pt vo I u m e i m a g e f i I e: 

F:\DocumentE. and Settings\Ced\Mes documents\truecrypt_container 

Par contre la vitesse de calcul est tellement basse que sans indication du mot de passe, il est illusoire 
d'esperer le trouver. 

Checking password: 
Passwords checked: 

I Search speed: I 

Total passwords checked- 

Neanmoins une option de I'outil est de permettre de rechercher la trace de cle de chiffrement aes^^ 
dans la memoire vive, ce qui permet le dechiffrement rapide d'un container TrueCrypt. 



Attack Progress 

Attack: TrueCrypt Memory Analysis attack 

Estimated completion time: 1 min. 










Order State Attack 1 


PasswordCs) Found 1 






1 


running 


TrueCrypt Memory An. . . 






2 pending TrueCrypt Decryption ... 





Figure 42 Cassage d'un container TrueCrypt par analyse de la memoire vive 

Volume image file: secret_truecrypt 

Folder: C:\Documents and Settings\Ced\Mes documents\ 

Physical memory image file: memdump_xp.mem 

Folder: C:\Documents and Settings\Ced\Mes documents\Capture\ 

Protection: TrueCrypt Volume - Open Password^ TrueCrypt AE5 Encryption 

CompleKity: Instant Unprotection 



Unprotected file: secret_truecrypt-decrypted 





http://fr.wikipedia.org/wiki/Advanced_Encryption_Standard 



C : Moo Is _hpuc>st rings secret _truecri;pt-decri;pted 
Strings u2.42 

Copyright <C> 1999-2011 Mark Russinouich 
Sysinternals - iiiiii.svsinternals.com 

CRIME 
PACK 3 
CRIMEP-^IB 



Malgre tout il faut rester realiste, car cette methode necessite de faire une capture de la memoire 
Vive pendant que le container TrueCrypt est ouvert, ce qui est assez peu probable en situation reelle. 



Recuperation d'autres mots de passe 

La nnachine analysee peut contenir de nonnbreux autres logiciels tiers installes dont la recuperation 
d'infornnations sensibles est possible. Realiser leur liste exhaustive etant innpossible, je nne 
contenterais d'en citer quelques uns, je laisse le soin aux lecteurs nnotives d'effectuer leurs propres 
recherches : 

- FileZilla'^'^ (serveur FTP) : "Password Recovery for FileZilla'^^'' 
Remote Desktop "Remote Desktop Passview^^" 
Mot de passes VPN, RAS, dialup ; dioluposs^^ 

Pour savoir quels sont les logiciels installes sur le poste, la chose la plus sinnple a faire est de 
consulter le repertoire « \progrann files » et de faire une liste des logiciels qui pourraient contenir des 
informations interessantes a recuperer. 



http://filezilla.fr/ 

http://www.reactive-software.com/filezilla-password-recovery.html 
http://fr.wikipedia.org/wiki/Remote_Desktop_Protocol 
http://www.nirsoft.net/utils/remote_desktop_password.html 
http://www.nirsoft.net/utils/dialupass.html 



Conclusion 



Ce document a uniquement traite de Tanalyse forensique a froid c'est-a-dire quand le systeme est 
eteint. Nous avons pu constater que nombreux sont les outils qui permettent d'analyser et d'aider a 
Tanalyse de ce type de systeme. II n'est bien sur pas exhaustif et de nombreux points tels que la 
recherche de malwares^^, I'expertise judiciaire, la detection d'une intrusion n'ont pas ete abordes. 
Ces points necessitent souvent d'autres connaissances techniques que je n'ai pas souhaite detailler 
dans ce document. 



Une autre approche interessante et qui offre de nombreuses possibilites concerne I'analyse de la 
memoire vive. Si le theme vous interesse, je ne peux que vous suggerer de vous initier au framework 
Volatility^^. Un excellent document realise par Devoteam traite de Tanalyse de la memoire vive : 
Livre blanc Devoteam - H(g)ckRAM, attaques contre la memoire. 



Si le domaine de Tanalyse forensique du point de vue expertise judiciaire vous interesse, je vous 
suggere aussi Texcellent blog de Zythom qui contient de tres nombreux articles interessants sur le 
theme : 

Comment devenir un expert judiciaire 

Demande d'informations 

Le rapport d'expertise 

Recuperation d'images et plus encore 

La recuperation des donnees, faites la vous-meme 

Un document pdf regroupant Tensemble de ces posts est d'ailleurs disponible : « Dans la peau d'un 
informaticien expert judiciaire Tl ». 



Je ne puis aussi que vous conseiller Texcellent magazine MISC qu\ traite bien souvent des 
problematiques liees a Tanalyse forensique. Le numero 56 y est d'ailleurs consacre. 



Vous trouverez aussi dans la partie bibliographie dans de nombreux liens pour aller plus loin. 



En cas de suggestions, critiques ou autres, vous pouvez toujours m'ecrire a 
bertrandcedriccc@hotmail.fr 



http://fr.wikipedia.org/wiki/Logiciel_malveillant 
https://www.volatilesystems.conn/default/volatility 



Challenges 



Ci-joint une liste de challenges afin de tester ses connaissances dans le domaine de I'analyse 
forensique. 

Digital Forensic Challenge 
The Forensic Challenge 
Rooted 

Forensic Challenge 
DFRWS 2005 Forensics Challenge 
Test Innages and Forensic Challenges 
Forensic Contest 



Live-Cd forensics 



II existe de nombreuses distributions dediees a Tanalyse forensique. En voici quelques-unes. 



Helix 

Helix est une distribution GNU/Linux Ubuntu custonnisee integrant un ensennble d'outils destines a 
attaquer, evaluer la securite et la connpronnission d'une nnachine ou d'un reseau. 




http://www.e-fense.com/products.php 



Caine (Computer Aided INvestigative Environment Digital Forensics) 

CAINE est une solution Live[CD | USB] d'interoperabilite qui regroupe, en tant que nnodules, un grand 
nonnbre d'outils Open Source pour faciliter, via une interface graphique honnogene, la collecte de 
donnees et la recherche legale de preuves nunneriques sur un ordinateur connpronnis. 



http://www.caine-live.net/ 

Deft 

DEFT Linux est un live-CD desornnais base sur Ubuntu et integrant une panoplie d'applications open- 
source specialement destinees aux enquetes de crinninalite infornnatique. 



fitdeFt 



http://www.deftlinux.net/ 



Backtrack 5 



Basee sur Ubuntu depuis la version 4, son objectif est de fournir une distribution contenant 
I'ensennble des outils necessaires aux tests de securite d'un reseau. Elle contient aussi de nonnbreux 
outils consacres a I'analyse forensique. 



h^rk I trarU- ^ 




http://www.bacl<tracl<-linux.org/ 



COFEE (Computer Online Forensic Evidence Extractor) 

Outil relativennent prive et confidentiel fourni par Microsoft aux services de police. Contient plus de 
150 outils destines a recuperer des preuves sur un ordinateur. Disponible sur Internet suite a une 
fuite. 
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